- Hệ thống máy chủ của google bị tấn công và thay đổi nội dung website.
- Máy chủ phân giải tên miền là 8.8.8.8/8.8.4.4 gặp vấn đề, có thể đã bị nhóm hacker xâm nhập.
- Hệ thống DNS của mạng internet tại Việt Nam bị trỏ vào một máy chủ DNS khác của hacker và tên miền Google.com.vn bị chuyển hướng tới website của hacker. (Do tin tặc tấn công các hệ thống router, hay các hệ thống quản lý của các nhà mạng ISP).
- Đơn vị quản lý tên miền google.com.vn gặp sự cố hoặc bị hacker xâm nhập và thay đổi thông tin của nameserver về nameserver của cloudflare do hacker kiểm soát.
Phân tích và xác định nguyên nhân
Hiện tại, chỉ người dùng Việt Nam sử dụng hệ thống Public DNS của google (Google Public DNS 8.8.8.8/8.8.4.4) mới bị ảnh hưởng, khi chuyển sang sử dụng các máy chủ DNS khác thì không gặp vấn đề này. Do vậy, chúng ta có thể loại bỏ trường hợp “Hệ thống DNS của mạng internet tại Việt Nam bị trỏ vào một máy chủ DNS khác của hacker và tên miền Google.com.vn bị chuyển hướng tới website của hacker”. Tại thời điểm xảy ra sự cố, website google.com vẫn hoạt động bình thường và không có dấu hiệu bị tấn công. Do google.com và google.com.vn đều được trỏ vào một máy chủ nên ta có thể loại bỏ khả năng nguyên nhân do hệ thống website của Google bị tấn công. Ngoài ra, còn một số thông tin chưa được kiểm chứng, 1 số website trong đó có vietnamworks.com bị ảnh hưởng. (Nếu bạn bè nào đã kiểm chứng vui lòng cung cấp thêm cho tôi thông tin). Như vậy, chỉ còn 2 nguyên nhân có thể dẫn tới tình trạng này- Đơn vị quản lý tên miền google.com.vn gặp sự cố hoặc bị hacker xâm nhập và thay đổi thông tin của nameserver về nameserver của cloudflare do hacker kiểm soát.
- Hệ thống Public DNS của google bị ảnh hưởng. Hoặc đã bị tin tặc kiểm soát.
Nguồn FB: Hoàng Quốc Thịnh – VNSecurity
Bình thường Name Server mà google sử dụng làẢnh chụp tại thời điểm phân tích
Đơn vị quản lý tên miền google.com.vn là công ty: công ty Qinetics Solution Berhad có trụ sở ở Malaysia – https://www.webnic.cc/.Nguồn FB: Hình ảnh truy cập vào google.com.vn không thành công
Từ đó tôi có thể tạm kết luận rằng hệ thống quản lý domain của google.com.vn đã bị xâm nhập và thay đổi. Nguyên nhân có thể do quản trị domain: google.com.vn bị lộ tài khoản hoặc hệ thống WebNIC có vấn đề và đã bị kiểm soát.Kịch bản tấn công
Chốt lại vấn đề, kịch bản hệ thống google.com.vn bị tấn công như sau:- Hacker đã kiểm soát được hệ thống quản lý tên miền của google.com.vn (có thể do hệ thống của webnic bị xâm nhập hoặc do quản trị hệ thống để lộ các thông tin đăng nhập trang quản lý domain).
- Hacker đã thay đổi nameserver của google.com.vn về nameserver của cloudflare.
- Trong trang quản trị của cloudflare, hacker đã cấu hình website trỏ về địa chỉ máy chủ của hacker và đưa lên một trang html như hình bên trên.
- Nguyên nhân của vụ việc không phải do VNNIC và cũng không phải do hệ thống Google Public DNS.